Neue SVCReady Spread Through Malspam-Kampagne

Sicherheitsexperten der Threat Research-Abteilung von HP veröffentlichten ihre Ergebnisse zu einem neuen Malware-Stamm namens SVCReady. Die Malware wird über böswillige Spam-E-Mail-Kampagnen verbreitet.

Die erste Sichtung von SVCReady in freier Wildbahn fand Ende April 2022 statt. Die Malware wurde über bösartige MS Word-Dokumentdateien verbreitet, die mit Makros geladen waren, die beim Öffnen ausgeführt wurden. Anders als die meiste Malware, die Makros verwendet, verwendet SVCReady jedoch keine MSHTA- oder PowerShell-Befehle, um seine Payload aus dem Internet zu holen. Stattdessen verwendet die neue Malware einen anderen cleveren Trick – sie führt Shellcode aus, der in den Eigenschaftsfeldern der Datei enthalten ist.

SVCReady legt eine DLL-Datei im temporären Ordner ab. Danach kopiert die Malware die legitime rundll32-Datei des Systems in dasselbe Verzeichnis und benennt sie um. Dann wird die umbenannte Kopie von rundll32 verwendet, um die schädliche DLL-Datei auszuführen.

Die Malware scheint sich in aktiver Entwicklung zu befinden, da sie seit Ende April mehrfach aktualisiert wurde und das Zeug zu einem Persistenzmechanismus zu haben scheint, aber sie ist fehlerhaft und erreicht im aktuellen Zustand keine Persistenz.

SVCReady wurde als anfängliche Nutzlast verwendet, um zusätzliche Malware auf infizierten Systemen bereitzustellen, einschließlich der RedLine-Infostealer-Malware.